Sysmon 10 : Microsoft aide la réponse à incident en journalisant les requêtes DNS

Microsoft a récemment levé le voile sur la version 10 de sysmon, son outil de collecte de traces d’activité pour Windows. Celle-ci n’a rien de négligeable, comme le souligne l’accueil enthousiaste que lui ont réservé plusieurs experts, qu’il s’agisse d’Antonin Hily, directeur technique chez Sogeti, le chasseur de menaces Olaf Hartong, ou encore de l’instructeur de l’institut Sans Ryan Nicholson et SwiftOnSecurity. Et tout cela pour une nouveauté : la journalisation des requêtes DNS assortie du nom de fichier exécutable associé.

Cela peut paraître anodin, mais ça ne l’est pas du tout. Andrew Case, formateur en réponse à incident ne manque pas de le rappeler régulièrement et depuis plusieurs années : « la journalisation DNS est souvent la technique la plus efficace et la moins chère que peuvent utiliser les organisations pour détecter des maliciels et réaliser des analyses historiques ». Il n’est pas le seul à souligner l’importance du sujet. Récemment, Jim Nitterauer, d’AppRiver, soulignait que si « beaucoup ne le font pas », la surveillance de l’activité DNS « est la première ligne de défense ». Et accessoirement, pour lui, il y a « beaucoup à apprendre de l’activité DNS sur un réseau ».

Certains chiffres soulignent l’importance de la pratique. Selon l’équipe 42 de recherche sur les menaces de Palo Alto Networks, plus de 80 % des maliciels utilisent le trafic DNS pour des échanges de commande et de contrôle (C2) ou des exfiltrations de données – voire même pour construire des leurres et détecter une surveillance. Pour la Global Cyber Alliance, le filtrage du trafic DNS constitue un contrôle de sécurité pertinent contre un tiers des brèches documentées dans le cadre des interventions de Verizon au cours des cinq dernières années.

Assurer l’enregistrement de traces d’activité DNS au niveau du réseau est une chose, mais le faire directement au niveau de l’hôte permet d’aller bien plus loin. Fin avril dernier, Amanda Draeger faisait le point sur le sujet pour l’institut Sans : « les enquêteurs peuvent examiner les requêtes DNS pour trouver des hôtes potentiellement compromis » au sein du système d’information ; mais une fois un tel hôte identifié, encore faut-il repérer « le processus qui génère les requêtes DNS ». Las, « le problème est que les hôtes Windows ne gardent pas par défaut de trace des transactions clientes DNS ».

SwiftOnSecurity testait déjà la nouvelle version de Sysmon depuis le début du mois de mai. Pour cet administrateur, celle-ci ouvre ni plus ni moins qu’une « nouvelle ère la journalisation IT et la réponse à incident ». Pour lui, « il n’y a rien de tel, véritablement, sur le marché avec ce niveau de détail d’attribution et de suppression de bruit ». Très familier de Sysmon, SwiffOnSecurity maintient un modèle de fichier de configuration pour aider à en tirer pleinement parti.

Mais le nouveau sysmon n’est pas infaillible. Olaf Hartong relève ainsi qu’il est aveugle aux requêtes DNS sur Https et suggère donc de compléter la surveillance du trafic réseau avec des outils tels que Zeek (anciennement connu sous le nom de Bro), un proxy, ou un pare-feu, notamment.

Pour celui qui se cache derrière le pseudonyme CyberGoatPsyOps, l’engouement pour la nouvelle version de sysmon est tout simplement déraisonnable : « la journalisation DNS sur le poste client n’est pas une solution miracle » et cela notamment du fait du recours massif des auteurs de maliciels à des noms de domaines générés de manière pseudo-aléatoire : « nous avons besoin de rétro-ingénierie sur les algorithmes de génération des attaquants pour prédire leurs services C2 ».

Et ce n’est pas nécessairement le seul bémol. Le chercheur Adam Chester s’est ainsi penché sur la manière dont le nouveau sysmon récolte les événements DNS – ou plutôt sur ce qui, au sein de Windows, les génère – pour montrer comment construire un exécutable qui ne produise pas d’événements DNS dont sysmon garderait une trace. Et pour lui, « bien sûr, ceci ne montre qu’une façon possible d’échapper à ce type de surveillance ».

Mais il est bien moins question de jeter le bébé avec l’eau du bain, que de souligner le fait que cette nouvelle fonctionnalité de sysmon doit s’utiliser conjointement à d’autres contrôles. Car pour CyberGoatPsyOps, « pour un outil gratuit, en lien avec les logs DNS et un peu de travail (apprentissage automatique ?), c’est 100 fois mieux que ne pas avoir [de trace] du tout ».